您的位置: 网界网 > 网络通信 > 正文

Heartbleed漏洞影响很多思科和瞻博网络产品

2014年04月11日 12:06:34 | 作者:佚名 | 来源:美国网络世界 | 查看本文手机版

摘要:OpenSSL中的Heartbleed漏洞能让攻击者窃听网络、电子邮件和一些VPN通信,这种漏洞不仅存在于服务器中,而且还存在于思科和瞻博网络的网络设备中。这两家供应商表示他们仍然在调查Heatbleed对其产品的影响。

标签
Cisco
Openssl
Juniper
Heartbleed

Openssl中的Heartbleed漏洞能让攻击者窃听网络、电子邮件和一些VPN通信,这种漏洞不仅存在于服务器中,而且还存在于思科和瞻博网络的网络设备中。这两家供应商表示他们仍然在调查Heatbleed对其产品的影响。

“我们将发布关于该漏洞的产品公告,”思科发言人Nigel Glennie表示,他解释说思科工程师正在评估哪些思科产品在使用有漏洞的OpenSSL版本,但并不是所有产品都存在这种漏洞。思科认为OpenSSL的特定功能是Heartbleed漏洞的核心,并且产品中的这个功能并没有总是开启。

到目前为止,思科已经列出了十几个确认“易受攻击”的产品,还有被认为“受到影响”的60个产品,调查仍然在进行中。大约有几十个产品已经确认不会受到攻击,以及托管思科服务Cisco Meraki Dashboard。思科表示其Webex服务容易受到Heartbleed漏洞的攻击,但现在已经修复。

思科的这些清单随时都会更改和更新,目前还没有提供可用的软件安全更新。虽然开源OpenSSL组已经发布了安全更新来修复Heatbleed漏洞,思科指出,针对思科产品的相应的更新还需要思科的评估和补丁更新。

这个Heatbleed漏洞似乎已经存在于OpenSSL长达两年之久,最近谷歌和Codemomicon的安全研究人员根据简单的编码错误发现了这个漏洞。

同时,思科也发现了这个Heartbleed漏洞。在发现该漏洞后,思科立即安排思科工程师确定Heartbleed对其设备的影响。

一些安全专家(包括密码学专家Bruce Schneier)描述Heartbleed漏洞是“灾难性的”漏洞,因为OpenSSL中的漏洞可被精明的攻击者利用来窃取密码或加密证书和密钥。思科表示现在给Heartbleed的严重程度评为中等,并指出,根据OpenSSL在思科产品中应用方式,这种严重程度可能会提升。

The main Cisco products now clearly evaluated as “vulnerable” are the.现在被评为“易受攻击”的思科主要产品包括:Cisco AnyConnect Secure Mobility Client(针对iOS)、Cisco IOS XE、 Cisco UCS B系列 (刀片)服务器、Cisco UCS C系列(单机机架式服务器)、Cisco统一通信管理器10.0、Cisco Desktop Collaboration Experience DX650、Cisco网真视频通信服务器以及三个版本的思科IP电话。

但有些思科IP电话已经被确认为不易受到攻击。很多其他思科产品也不会受到影响,包括思科无线局域网控制器、思科网络安全设备、思科内容管理设备以及思科电子邮件安全设备。

仍然在调查中的产品包括:思科IOS、思科身份服务引擎、思科安全访问控制服务器,思科云web安全、思科Catalyst 6500系列和思科7600系列防火墙服务器模块,以及几十款其他产品。思科还将继续更新这个列表。

瞻博网络并没有安排一个发言人来讨论Heartbleed,但发表了一个声明(+本站微信networkworldweixin),声称:“瞻博网络安全事件响应团队(SIRT)已经意识到OpenSSL漏洞正在影响整个行业,并正在努力解决对一些瞻博网络产品的潜在威胁。”

瞻博网络指出他们已经发布了一个公告,其中列出了几个易受攻击的产品,包括那些基于Junos操作系统13.3R1、Odyssey client 5.6r5及更高版本的产品。同样容易受到Heatbleed漏洞问题影响的产品包括Juniper SSL VPN (IVEOS) 7.4r1及以上版本,以及SSL VPN(IVEOS)8.0r1和更高版本。一些产品已经被列为“已经修复”

列为“不易受到攻击的”产品包括Junos操作系统13.2及更早版本,非FIPS版本网络连接的客户端不会受到影响,以及SSL VPN (IVEOS) 7.3, 7.2和7.1。其他几个网络和安全产品也被列为“不容易受到攻击”。其他瞻博网络产品仍然在调查之中,包括单机IDP、ADC和WL-系列(SmartPass)。

根据移动安全供应商Lookout Security公司表示,除了这么多网络设备容易受到Heatbleed漏洞影响外,还有某些版本的Android操作系统似乎也容易受到攻击。

Lookout Security公司首席安全研究人员Marc Rogers表示,到目前为止,该安全公司已经确定易受攻击的谷歌Andr版本只包括4.1.1和4.2.2版本。Android 4.5的最新版本不会受到影响,这可能是因为造成OpenSSL中Heartbleed漏洞问题的功能并没有被启用。Lookout公司已经创造了一个工具来让移动设备用户测试是否存在Heatbleed漏洞。

Lookout公司称他们不能提供针对Heatbleed的Android修复,这种修复应该来自于Android开源项目,应该由Android手机制造商来提供。我们目前很难确定受影响的Android移动设备清单,因为Android本身已经非常“支离破碎”。(邹铮/译)

原文地址链接: 

http://www.networkworld.com/news/2014/041014-heartbleed-cisco-juniper-280593.html?hpg1=bn

 

[责任编辑:郑楠 zheng_nan@cnw.com.cn]